作為一種古老的網(wǎng)絡(luò)攻擊手段，釣魚郵件是企業(yè)和個人最常遇見的網(wǎng)絡(luò)威脅之一。和零日漏洞、APT攻擊等高危險的攻擊方法相比，釣魚郵件就顯得非常“老套”。

但是，“老套”并不意味著無效。相反，隨著網(wǎng)絡(luò)空間的不斷發(fā)展、壯大，這種“老套的”攻擊手段給每年都給企業(yè)帶來了難以言表的巨額損失。

2021年Q2 Coremail郵件安全報告的數(shù)據(jù)顯示，和2021年Q1相比，Q2郵件安全問題依舊層出不窮，釣魚郵件季環(huán)比增長21.27%，同比增長甚至呈現(xiàn)翻倍上升趨勢。

另一份報告指出，美國大型企業(yè)平均每年因與網(wǎng)絡(luò)釣魚相關(guān)的網(wǎng)絡(luò)犯罪而損失1480萬美元，遠高于2015年的380萬美元，過去六年來，美國大型企業(yè)的網(wǎng)絡(luò)釣魚平均成本飆升了289%，年均損失近1500萬美元。

同時，網(wǎng)絡(luò)釣魚憑據(jù)也是勒索軟件和商業(yè)電子郵件入侵 (BEC) 的常見起點。該報告稱，勒索軟件每年給大型企業(yè)造成570萬美元的損失，而BEC則為600萬美元。網(wǎng)絡(luò)釣魚造成的損失被比勒索軟件和BEC損失的總和還多。

釣魚郵件之猖獗可見一斑。

用數(shù)字符號規(guī)避釣魚檢測

面對日益頻發(fā)的釣魚郵件攻擊，不少企業(yè)開始部署各種反釣魚郵件的工具和解決方案，而攻擊者們則是想盡辦法來規(guī)避這些反釣魚郵件檢測。

據(jù)Security affairs消息，近日某釣魚郵件組織突發(fā)奇想，使用數(shù)字符號來干擾反釣魚郵件檢測，竟然還取得了不俗的效果。

電子郵件防護產(chǎn)商INKY的安全研究人員詳細地介紹了這種“新型”的釣魚郵件攻擊，它的核心是利用各種數(shù)字符號替換公司logo或名字中的字母，達到“欺騙”反釣魚郵件或反垃圾郵件產(chǎn)品的目標。

美國電信巨頭Verizon成了這種新型攻擊的首個目標，自2021年11日開始，不少用戶收到了“修改密碼”的釣魚郵件。不久之后，不少用戶的賬號被盜，有的甚至還被盜刷了信用卡，丟失了數(shù)千美金，但Verizon表示公司系統(tǒng)并為遭到破壞。

安全人員對此次釣魚郵件攻擊事件復(fù)盤之后發(fā)現(xiàn)，釣魚郵件并未使用多少新的技術(shù)，而是對郵件進行了高超的“偽裝”。

一個紅色的平方根字符，NOR邏輯操作符或者說是漢字符號中的勾(√)，這些簡單的數(shù)學(xué)符號創(chuàng)造了一種邏輯干擾，竟然就這么騙過了反垃圾郵件檢測的“眼睛”，于是這些郵件成功發(fā)給了用戶。

之所以這波操作如此有效，是因為Verizon公司的logo使用的就是一個紅色、不對稱的“V”，這和平方根符號或者說“勾”相似度非常高，如下圖所示。

(不仔細看根本分辨不出來有木有)

因此，很多用戶收到了郵件后，完全沒有發(fā)現(xiàn)這是一封假的郵件。

但該釣魚郵件的偽裝還遠不止這些，他們還創(chuàng)建了一個相似度非常高的假Verizon公司的網(wǎng)頁。攻擊者們在郵件中使用了一個簡單的數(shù)字字符，用戶只要點擊之后就會定向鏈接到這個假網(wǎng)站。

這個假的惡意網(wǎng)站和真網(wǎng)站有多相似呢?根據(jù)INKY的安全研究人員的說法，他們幾乎是完全克隆了Verizon公司的官網(wǎng)，使用了幾乎相同的設(shè)計元素。

這就騙過了很多的用戶，他們在登錄頁面填寫了自己的Office 365的賬號密碼進行登錄，而這些信息全部都落入到攻擊者的手中。

有趣的是，用戶在第一次登錄的時候會顯示“登錄錯誤”，并要求再次輸入賬號密碼，最終顯示的頁面是“無法登錄”。

兩次輸入就意味著兩次信息收集，但INKY安全研究人員也無法理解這波操作的真正原因。他們猜測攻擊者是想確認賬號密碼的真實性，或者是引導(dǎo)用戶輸入其他的賬號密碼，這樣他們可以收集兩套登錄憑證，賣兩份價錢。

INKY安全研究人員進一步研究發(fā)現(xiàn)，釣魚郵件攻擊者是直接使用Gmail賬戶發(fā)送釣魚信息。之所以如此明目張膽，是因為它們可以通過標準的電子郵件身份驗證(SPF、DKIM和DMARC)。而那個等待用戶的假的惡意網(wǎng)站中，存在著最新的零日漏洞，足以給用戶造成嚴重損失。

事實上，這已經(jīng)不是Verizon公司2021年度第一次遭遇釣魚郵件攻擊。

2021年4月，Verizon公司移動端用戶遭釣魚攻擊，并欺騙用戶竊取電話號碼、ID、密碼等私人數(shù)據(jù)信息，并且在2019年2和3月也遭受了兩次釣魚郵件攻擊。

頻繁出現(xiàn)的釣魚攻擊不僅給用戶帶來了一定的損失，也給Verizon公司聲譽和業(yè)務(wù)造成了一定的損傷。

另外值得注意的是，前三次釣魚郵件攻擊還略顯粗糙，最近一次的釣魚郵件則出現(xiàn)明顯的“定制化”趨勢。攻擊者用更加巧妙的手段，瞞過了企業(yè)反釣魚郵件的檢測，也瞞過了很多粗心的用戶。

如何有效預(yù)防釣魚郵件?

眾所周知，釣魚郵件的核心就在于一個“偽”字，而只要是假冒的就一定會存在各種蛛絲馬跡，我們可以通過這些蛛絲馬跡來分別是不是釣魚郵件，避免掉入攻擊者們的陷進之中。

以下是安全專家們提供的預(yù)防釣魚郵件的建議：

(1) 對于來自Gmail或其他免費電子郵件提供商(如雅虎、AOL或Hotmail)保持警惕，仔細核對發(fā)件人和郵件的真實性。

(2) 確保在下載任何附件之前進行檢查，尤其是未經(jīng)請求的電子郵件。更好的做法是，仔細檢查發(fā)件人的電子郵件地址并留意高風(fēng)險附件文件。不輕易下載附件，也不輕易點擊陌生鏈接。

(3) 切勿通過電子郵件提供敏感信息，如果一封電子郵件要求收件人提供信用卡詳細信息、稅號、社會保障信息或任何其他敏感詳細信息，那基本是釣魚郵件。

(4) 安裝反釣魚郵件工具，目前很多殺毒軟件和瀏覽器都包含了反釣魚郵件工具，這可以幫我們攔截大多數(shù)釣魚郵件，并且會有相應(yīng)的提醒。

(5) 重要文件做好防護，很多時候釣魚郵件只是勒索攻擊的開端，及時對重要郵件備份，防止勒索攻擊鎖住文件造成巨額損失。

參考來源：https://securityaffairs.co/wordpress/123297/hacking/anti-phishing-technique.html